MELHORES PRÁTICAS

DE PROTEÇÃO
DE ENDPOINT
PARA BLOQUEAR
RANSOMWARE

Documento técnico Sophos Julho de 2020

 Melhores práticas de proteção de endpoint para bloquear ransomware

Melhores práticas de proteção de endpoint para bloquear

ransomware
Em nossa pesquisa com 5.000 gerentes de TI distribuídos em 26 países, 51% dos respondentes disseram ter sido atingidos
por ransomwares no ano passado. Em 73% desses incidentes, os criminosos tiveram êxito na criptografia dos dados. E
mais: o custo médio global para remediar os ataques foram estonteantes US$ 761.106,00.

Um dos métodos mais eficazes de proteção contra ataques de ransomware é através de uma solução de proteção de
endpoint configurada de modo apropriado. Neste documento técnico, discutiremos como os ataques de ransomware
funcionam, como podem ser detidos e as melhores práticas para configurar sua solução de endpoint para que lhe ofereça a
melhor proteção possível.

Como os ataques de ransomware são lançados

Nos últimos anos, constatou-se uma tendência à diminuição de ataques de ransomware de força bruta e em larga escala,
e ao aumento de ataques concentrados, planejados e executados manualmente, os quais são muito mais difíceis de ser
detectados e bloqueados. Vejamos como as diferentes formas de ransomware operam e o que sua organização deve fazer
para minimizar sua vulnerabilidade a um ataque.

Ataques direcionados de ransomware

Ataques de ransomware são bastante manuais, normalmente focam em uma única vítima por vez e frequentemente
demandam resgates de altíssimo valor. Os invasores acessam a rede e se movem lateralmente em seu espaço interno,
identificando os grandes sistemas de valor durante o processo. Com o intuito de afetar o máximo possível de sistemas
simultaneamente, esses ataques são frequentemente lançados nos piores momentos possíveis para combatê-los: à noite,
nos fins de semana e nos feriados. Eles também se utilizam de várias técnicas de ataque para escapar dos recursos de
proteção em camadas, o que os torna particularmente eficientes.

Um típico ataque direcionado de ransomware apresenta uma estrutura semelhante a esta:

1. OBTÊM ACESSO DE 2. AUMENTAM OS PRIVILÉGIOS 3. TENTAM DESABILITAR/BURLAR

ENTRADA ATÉ QUE SE TORNEM UM O SOFTWARE DE SEGURANÇA
a. Recursos de
ADMINISTRADOR USANDO ARQUIVOS ALTAMENTE
compartilhamento/ Os invasores exploram as ADAPTADOS
gerenciamento remoto de vulnerabilidades do sistema para
obter níveis de privilégio que lhes Se falhar, tentarão violar o painel de
arquivos, como RDP
permitam burlar o software de gerenciamento de segurança e desabilitar
b. Malware, como Emotet e segurança os sistemas de segurança
Trickbot

4. IMPLANTAM RANSOMWARES QUE 6. AGUARDAM QUE A

CRIPTOGRAFAM OS ARQUIVOS DA VÍTIMA 5. DEIXAM UM PEDIDO DE
VÍTIMA ENTRE EM
RESGATE QUE EXIGE
Os hackers usam vulnerabilidades de rede e de CONTATO COM ELES POR
host ou protocolos básicos de compartilhamento PAGAMENTO PARA QUE
E-MAIL OU ATRAVÉS DE
de arquivos para comprometer outros sistemas OS ARQUIVOS SEJAM
na rede. Eles também utilizam ferramentas que UM SITE DA DARK WEB
DESCRIPTOGRAFADOS
as empresas já utilizam em suas redes, como
PsExec e PowerShell

As consequências de ser uma vítima desses ataques podem ser graves. Os hackers estão ficando mais ousados, chegando
a exigir pagamentos na casa dos seis dígitos. Nossa pesquisa também revelou que pagar um resgate na verdade duplica o
custo da negociação, chegando ao cúmulo dos US$ 1,4 milhão de dólares em média globalmente.

Documento técnico Sophos Julho de 2020 1

 Melhores práticas de proteção de endpoint para bloquear ransomware

Remote Desktop Protocol ou Ransomware Deployment Protocol?

O protocolo RDP (Remote Desktop Protocol) e outras ferramentas de compartilhamento de área de trabalho, como VNC
(Virtual Network Computing), são recursos legítimos e altamente úteis que permitem aos administradores acessar e
gerenciar sistemas remotamente. Infelizmente, sem proteções adequadas, essas ferramentas também oferecem uma via
de acesso conveniente para os invasores e são comumente exploradas por ransomware direcionado.

Não proteger adequadamente o RDP e outros protocolos de gerenciamento remoto semelhantes por trás de uma rede
virtual privada (VPN) ou ao menos restringir quais endereços IP podem se conectar através do RDP pode deixar você
totalmente aberto a ataques. Geralmente os invasores usam ferramentas de hacking de força bruta que tentam centenas
de milhares de combinações de nome de usuário e senha até encontrarem a correta e comprometerem sua rede.

Práticas gerais para ficar protegido contra ransomware

Manter-se seguro contra ransomware não é só apenas ter as mais modernas soluções de segurança. As boas práticas de
segurança em TI, incluindo treinamento regular para os funcionários, são componentes essenciais em toda e qualquer
configuração de segurança. Assegure-se de que estas 10 práticas sejam seguidas:

1. Aplique os patches cedo, e sempre

Em geral, o malware se embrenha nas falhas de segurança em aplicativos populares. Quanto mais cedo você instalar
patches em seus endpoints, servidores, dispositivos móveis e aplicativos, menos vulnerabilidades haverá para explorar.

2. F
 aça backups regulares e mantenha cópias recentes offline e contingentes
Em nossa pesquisa, 56% dos gerentes que tiveram seus dados criptografados conseguiram reavê-los através de backups.
Criptografe seus dados de backup e mantenha-os em uma localidade externa, assim você não precisará se preocupar com
a possibilidade de seus backups na nuvem ou em dispositivos de armazenamento caírem em mãos erradas. Além disso,
implemente um plano de recuperação de desastre que cubra a restauração de dados.

3. Habilite extensões de arquivo

No Windows, a configuração padrão oculta a extensão dos arquivos, ou seja, você tem que confiar nas miniaturas e
ícones dos arquivos para identificá-los. Habilitar extensões facilita imensamente distinguir entre os tipos de arquivo que,
normalmente, não seriam enviados a você nem a seus usuários, como arquivos JavaScript.

4. Abra arquivos JavaScript (.JS) em Notepad

Abrir um arquivo JavaScript em Notepad impede a execução de scripts mal-intencionados e permite que você examine o
conteúdo do arquivo.

5. Não habilite macros em anexos de documentos recebidos por e-mail

Como medida de segurança, há muitos anos a Microsoft deliberadamente desativou o padrão de execução automática de
macros. Muitas das infecções contam com a sua propensão a reativar a execução automática de macros, portanto não
faça isso!

Documento técnico Sophos Julho de 2020 2

 Melhores práticas de proteção de endpoint para bloquear ransomware

6. Fique atento aos anexos não solicitados

Os criminosos virtuais se atêm a um dilema já consagrado: você só deve abrir um documento uma vez que tenha certeza
de que ele é legítimo, mas você não tem como saber se ele é malicioso até que o abra. No caso de dúvida, deixe o arquivo
de lado.

7. Monitore os direitos de administrador

Examine constantemente os direitos de admin locais e no domínio. Saiba quem os têm e remova-os daqueles que não
necessitam deles. Não fique conectado usando suas credenciais de login de administrador por mais tempo do que o
necessário, e evite navegar, abrir documentos e outras atividades rotineiras de trabalho enquanto estiver conectado
usando direitos de admin.

8. Mantenha-se atualizado com os novos recursos de segurança em seus aplicativos de

negócios
Por exemplo, o Office 2016 inclui agora um controle chamado “Bloquear macros impedindo sua execução em arquivos
do Office da Internet”, que o ajuda a se proteger contra um conteúdo externo malicioso sem impedir o uso de macros
internamente.

9. Regularize o acesso a redes externas

Não abra suas portas para o mundo. Bloqueie o acesso RDP na sua organização e outros protocolos de gerenciamento
remoto. Use também autenticação de dois fatores e assegure que seus usuários remotos façam a autenticação por VPN.

10. Use senhas fortes

Soa banal, mas não é. Uma senha fraca e previsível pode dar aos hackers o acesso a toda a sua rede em questão de
segundos. Recomendamos que você exija que sejam impessoais, com 12 caracteres no mínimo, usando um misto de
maiúsculas e minúsculas e que incluam um caractere especial para dar um último toque: Bem.De5SEJei1o!

Melhores práticas para a sua solução de proteção de endpoint

Acompanhado de um firewall next-gen, um dos métodos mais eficazes de proteção contra ataques de ransomware
é utilizar uma solução de proteção de endpoint. Contudo, sua solução precisa ser configurada corretamente para
proporcionar a proteção certa.

Siga estas práticas para proteger seus dispositivos de endpoint contra ransomware:

1. Ative todas as políticas e assegure que todos os recursos estejam habilitados

Parece óbvio, mas essa é uma maneira infalível de você obter a melhor proteção que sua solução de endpoint tem a
oferecer. As políticas são criadas para parar ameaças específicas, e verificá-las regularmente para confirmar que estejam
ativas irá garantir que seus endpoints fiquem protegidos – especialmente contra famílias de ransomwares.

Habilitar recursos que detectem técnicas de ataque sem arquivo e comportamentos de ransomware também é crítico para
impedir que os criminosos se infiltrem em seus endpoints e implantem famílias de ransomwares prejudiciais. Eles também
o ajudam a remediar ataques com mais facilidade na eventualidade de conseguirem entrar no seu ambiente.

Documento técnico Sophos Julho de 2020 3

 Melhores práticas de proteção de endpoint para bloquear ransomware

2. Revise regularmente suas exclusões

As exclusões – evitar a varredura por malware de diretórios e tipos de arquivo confiáveis – são utilizadas para aliviar as
queixas de usuários que sentem que a solução de proteção deixa seus sistemas lentos. As exclusões também podem ser
usadas para reduzir o risco de possíveis falsos positivos.

Com o tempo, uma lista crescente de diretórios e tipos de arquivo pode acabar afetando mais e mais pessoas na rede, e o
malware que conseguir se embrenhar nos diretórios excluídos – talvez movido acidentalmente por um usuário – terá êxito
em suas peripécias, pois estará excluído da varredura.

Certifique-se de verificar sua lista de exclusões regularmente nas suas configurações de proteção contra ameaças e
mantenha o número de exclusões o mais próximo a zero que puder.

3. Ative a autenticação multifator (MFA) no painel de segurança

A autenticação multifator, ou MFA, oferece uma camada extra de proteção após o primeiro fator, que é, em geral, uma
senha. Ativar MFA em seus aplicativos é uma boa prática de segurança de TI, mas é essencial que você a habilite para todos
os usuários que tenham acesso ao seu painel de controle de segurança.

Isso irá garantir que a sua solução de proteção de endpoint esteja segura e sem propensão a tentativas acidentais ou
propositais de mudanças às suas configurações, que poderiam deixar seus dispositivos endpoint vulneráveis a ataques.
MFA é crítica também para a segurança de RDP.

4. Certifique-se de que seus endpoints estejam protegidos e atualizados

Verificar seus dispositivos regularmente para saber se estão protegidos e atualizados é uma forma rápida de assegurar a
proteção certa. Um dispositivo que não funciona corretamente pode ficar desprotegido, estando vulnerável a um ataque
de ransomware. As ferramentas de segurança de endpoint frequentemente oferecem telemetria, e um programa de
manutenção da higiene de TI também é útil para a verificação regular em busca de possíveis problemas de TI.

5. Mantenha a higiene de TI
A higiene de TI regular assegura que seus endpoints e os softwares instalados sejam executados com eficiência máxima.
Isso não apenas alivia os riscos à segurança cibernética como também economiza tempo quando se trata de remediar
possíveis incidentes futuros.

Implementar um programa para manter a higiene de TI é crucial para salvaguardar-se contra ataques de ransomware e
outras ameaças virtuais. Por exemplo: assegurando que o RDP esteja em execução apenas onde necessário e esperado,
verificando regularmente questões de configuração, monitorando o desempenho do dispositivo e removendo programas
indesejados e desnecessários. Uma verificação de higiene de TI poderá destacar a necessidade de atualizar softwares,
inclusive o seu software de segurança. É também uma forma infalível de assegurar que o backup dos seus preciosos dados
seja feito regularmente.

6. Saia no encalço de possíveis ameaças na sua rede

No atual cenário de ameaças, os agentes mal-intencionados estão cada vez mais astutos, implantando técnicas furtivas
na realização de ataques de ransomware danosos. As organizações precisam de ferramentas que as permitam fazer
perguntas detalhadas de modo a poderem identificar adversários ativos e ameaças avançadas. Uma vez encontradas, as
organizações também precisam de ferramentas que possam usar para uma ação rápida e adequada de bloqueio de tais
ameaças.

As tecnologias em sua solução de endpoint, como a detecção e resposta a endpoint (EDR), oferecem essa funcionalidade,
portanto assegure-se de ativar e usar os recursos EDR caso os tenha instalados.

Documento técnico Sophos Julho de 2020 4

 Melhores práticas de proteção de endpoint para bloquear ransomware

7. Feche a lacuna com a intervenção humana – o ransomware é só o fim do jogo

Para os hackers, o ransomware é só o fim de um jogo. Para lançar um ransomware, os hackers já terão violado sua rede e
possivelmente exfiltrado seus dados sem o seu conhecimento – às vezes, meses antes de um ataque acontecer.

Geralmente, a tecnologia por si só não é suficiente para parar os intrusos. Um exemplo da vida real: com uma câmera
de segurança você pode ver os ladrões entrando na propriedade, mas apenas com guardas de segurança a postos você
poderá impedir o roubo. O mesmo se aplica à segurança virtual. A melhor forma de se proteger contra esse tipo de invasão
é adicionando a expertise humana como parte de uma estratégia de segurança em camadas.

Os serviços de resposta e detecção gerenciada (MDR) são críticos aqui. Consolidar suas equipes internas de TI e segurança
com uma equipe de segurança externa de caçadores de ameaças e peritos em resposta ajuda a oferecer medidas
acionáveis para lidar com a causa raiz dos incidentes recorrentes.

Sophos Intercept X Advanced with EDR

O Sophos Intercept X Advanced with EDR inclui todos os recursos de que você precisa para ajudar a proteger a sua
organização contra ataques de ransomware como Ryuk, Sodinokibi, Maze e Ragnar Locker.

O Intercept X inclui a tecnologia anti-ransomware, que detecta processos de criptografia maliciosos e os interrompe antes
que possam se espalhar pela sua rede. A tecnologia Anti-Exploit interrompe a entrega e instalação do ransomware, o Deep
Learning bloqueia o ransomware antes que ele seja executado e o CryptoGuard impede a criptografia mal-intencionada de
arquivos, revertendo os arquivos para seu estado original de segurança.

O Sophos EDR também ajuda a manter a higiene de suas operações de TI e a caça a ameaças trabalhando de modo
integrado em toda a extensão do seu patrimônio digital. O Sophos EDR capacita a sua equipe a fazer perguntas detalhadas
para identificar ameaças avançadas, adversários ativos e possíveis vulnerabilidades de TI, e a partir daí tomar as ações
apropriadas para interromper o seu curso. Com isso você pode detectar adversários escondidos na sua rede, na espreita,
aguardando o momento oportuno para lançar um ransomware que tenha passado despercebido até então.

Sophos Managed Threat Response (MTR)

O serviço Sophos MTR adiciona expertise humana à sua estratégia de segurança em camadas. Uma equipe de elite
de caçadores de ameaças sai no encalço de possíveis ameaças e cuida delas por você. Se autorizados, poderão tomar
medidas práticas para deter, conter e neutralizar as ameaças e oferecer medidas acionáveis para lidar com a causa raiz de
incidentes recorrentes.

Documento técnico Sophos Julho de 2020 5

Conclusão
Apesar de ser uma ameaça cibernética perene, o ransomware continuará simplesmente evoluindo. Ainda que nunca
sejamos capazes de erradicar os ransomwares completamente, seguir as melhores práticas de proteção de endpoint
descritas neste documento dará à sua organização as melhores chances de se manter protegida contra ameaças recentes.

Em resumo:

1. Ative todas as políticas e assegure que todos os recursos estejam habilitados

2. Revise regularmente suas exclusões

3. Ative MFA no painel de segurança

4. Certifique-se de que seus endpoints estejam protegidos e atualizados

5. Mantenha a higiene de TI

6. Saia no encalço de possíveis ameaças na sua rede

7. Feche a lacuna com a intervenção humana: lembre-se, o ransomware é só o fim do jogo

Experimente o Sophos Intercept X

Saiba mais sobre o Sophos MTR
gratuitamente em
em www.sophos.com/MTR
www.sophos.com/endpoint

Vendas na América Latina Vendas no Brasil

E-mail: latamsales@sophos.com E-mail: brasil@sophos.com

© Copyright 2020. Sophos Ltd. Todos os direitos reservados.

Empresa registrada na Inglaterra e País de Gales sob o n°. 2096520, The Pentagon, Abingdon Science Park, Abingdon, OX14 3YP, Reino Unido
A Sophos é marca registrada da Sophos Ltd. Todos os outros nomes de produtos e empresas mencionados são marcas comerciais ou marcas
registradas de seus respectivos proprietários.
200702 WPPTBR (NP)